Des routeurs TikTok aux routeurs Huawei en passant par les drones DJI, les tensions croissantes entre la Chine et les États-Unis ont rendu les Américains – et le gouvernement américain – de plus en plus méfiants à l’égard des technologies appartenant à des Chinois. Mais grâce à la complexité de la chaîne d’approvisionnement du matériel, les puces de chiffrement vendues par la filiale d’une société spécifiquement signalée dans les avertissements du département américain du Commerce pour ses liens avec l’armée chinoise se sont retrouvées dans le matériel de stockage des réseaux militaires et de renseignement. à travers l’Ouest.
En juillet 2021, le Bureau de l’industrie et de la sécurité du Département du commerce a ajouté le fabricant de puces de cryptage basé à Hangzhou, en Chine, Hualan Microelectronics, également connu sous le nom de Sage Microelectronics, à sa soi-disant «liste d’entités», une liste de restrictions commerciales vaguement nommée qui met en évidence des entreprises « agissant contrairement aux intérêts de la politique étrangère des États-Unis ». Plus précisément, le bureau a noté que Hualan avait été ajouté à la liste pour « acquisition et … tentative d’acquisition d’articles d’origine américaine à l’appui de la modernisation militaire pour [China’s] Armée de Libération du Peuple. »
Pourtant, près de deux ans plus tard, Hualan – et en particulier sa filiale connue sous le nom d’Initio, une société initialement basée à Taïwan qu’elle a acquise en 2016 – fournit toujours des puces de microcontrôleur de cryptage aux fabricants occidentaux de disques durs cryptés, dont plusieurs qui figurent comme clients sur leur agences aérospatiales, militaires et de renseignement des gouvernements occidentaux : NASA, OTAN et armées américaine et britannique. Les dossiers d’approvisionnement fédéraux montrent que les agences gouvernementales américaines, de la Federal Aviation Administration à la Drug Enforcement Administration en passant par la marine américaine, ont également acheté des disques durs cryptés qui utilisent les puces.
La déconnexion entre les avertissements du département du Commerce et les clients du gouvernement occidental signifie que les puces vendues par la filiale de Hualan se sont retrouvées au plus profond des réseaux d’information occidentaux sensibles, peut-être en raison de l’ambiguïté de leur marque Initio et de son origine taïwanaise avant 2016. La propriété chinoise du fournisseur de puces a fait craindre aux chercheurs en sécurité et aux analystes de la sécurité nationale axés sur la Chine qu’ils pourraient avoir une porte dérobée qui permettrait au gouvernement chinois de déchiffrer furtivement les secrets des agences occidentales. Et bien qu’aucune porte dérobée de ce type n’ait été trouvée, les chercheurs en sécurité avertissent que s’il en existait une, il serait pratiquement impossible de la détecter.
« Si une entreprise figure sur la liste des entités avec un avertissement spécifique comme celui-ci, c’est parce que le gouvernement américain affirme que cette entreprise soutient activement le développement militaire d’un autre pays », déclare Dakota Cary, chercheur spécialisé sur la Chine à l’Atlantic Council, un Groupe de réflexion basé à Washington, DC. « Cela signifie que vous ne devriez pas acheter chez eux, non seulement parce que l’argent que vous dépensez va à une entreprise qui utilisera ces bénéfices dans la poursuite des objectifs militaires d’un autre pays, mais parce que vous ne pouvez pas faire confiance au produit. »
Techniquement, la liste des entités est une liste de « contrôle des exportations », explique Emily Weinstein, chercheuse au Centre pour la sécurité et les technologies émergentes de l’Université de Georgetown. Cela signifie que les organisations américaines n’ont pas le droit d’exporter des composants pour entreprises figurant sur la liste, plutôt que d’importer des composants depuis eux. Mais Cary, Weinstein et le département du Commerce notent qu’il est souvent utilisé comme un avertissement de facto aux clients américains de ne pas acheter non plus auprès d’une société étrangère cotée en bourse. La société de réseautage Huawei et le fabricant de drones DJI ont été ajoutés à la liste, par exemple, pour leurs liens présumés avec l’armée chinoise. « Il est utilisé un peu comme une liste noire », explique Weinstein. « La liste des entités devrait être une alerte rouge ou peut-être jaune à quiconque au sein du gouvernement américain qui travaille avec cette entreprise pour jeter un deuxième regard sur cela. »
Lorsque WIRED a contacté le Bureau de l’industrie et de la sécurité du Département du commerce, un porte-parole a répondu que la BRI est empêchée par la loi de commenter à la presse des entreprises spécifiques et que la filiale non cotée d’une entreprise, comme Initio, n’est techniquement pas affectée par l’entité. Liste des restrictions légales. Mais le porte-parole a ajouté que « de manière générale, l’affiliation à un parti inscrit sur la liste des entités doit être considérée comme un » drapeau rouge « ».